Schéma definuje formulář pro hlášení kybernetického bezpečnostního incidentu GovCERT.CZ
This scheme defines the GovCERT.CZ report form for a cyber security incident
1.0
Osobní - seznam příjemců
Personal - List of beneficiaries
Omezená distribuce
Restricted distribution
Neomezeno (veřejné)
Unrestricted
TLP - Traffic Light Protocol
TLP - Traffic Light Protocol
source: https://www.us-cert.gov/tlp
RED - Informace výhradně a přímo dána jednotlivým příjemcům. Sdílení (mimo skupinu příjemců) není legitimní
RED When should it be used?- Sources may use TLP: RED when the information cannot be effectively acted upon by additional parties, and could lead to impacts on a party's privacy, reputation, or operations if misused.
RED How may it be shared?- Recipients may not share TLP: RED information with any parties outside the specific exchange, meeting, or conversation in which it is originally disclosed.
AMBER - Informace výlučně věnována organizaci; sdílení omezeno v rámci organizace, které je informace směřována
AMBER When should it be used?- Sources may use TLP: AMBER when the information requires support in order to be effectively acted upon, but carries risks to privacy, reputation or operations if shared outside of the organizations involved.
AMBER How may it be shared?- Recipients may only share TLP: AMBER information with members of their own organization who need to know, and only as widely as necessary to act on that information.
GREEN - Informace poskytnuté pro komunitu nebo skupiny organizací (CERT/CSIRT týmy). Tyto informace nemohou být zveřejněny.
GREEN When should it be used?- Sources may use TLP: GREEN when the information is useful for awareness of all participating organizations as well as with peers within the broader community or sector.
GREEN How may it be shared?- Recipients may share TLP: GREEN information with peers and partner organizations within their sector or community, but not via publicly accessible channels.
WHITE - Informace mohou být sdíleny veřejně v souladu se zákonem
WHITE When should it be used?- Sources may use TLP: WHITE when the information carries minimal or no foreseeable risk of misuse, in accordance with applicable rules and procedures for public release.
WHITE How may it be shared?- TLP: WHITE information may be distributed without restriction, subject to copyright controls.
Kategorie III – velmi závažný kybernetický bezpečnostní incident
Category III - very serious cyber security incident
Kategorie II – závažný kybernetický bezpečnostní incident
Category II - serious cyber security incident
Kategorie I – méně závažný kybernetický bezpečnostní incident
Category I - less serious cyber security incident
Kybernetický bezpečnostní incident způsobený kybernetickým útokem nebo jinou událostí vedoucí k průniku do systému nebo k omezení dostupnosti služeb.
Cyber security incident caused by a cyber attack or other events resulting into an intrusion into the system or limitation of the availability of services
Kybernetický bezpečnostní incident způsobený škodlivým kódem.
Cyber security incident caused by a malicious code.
Kybernetický bezpečnostní incident způsobený překonáním technických opatření.
Cyber security incident caused by a breach of technical measures.
Kybernetický bezpečnostní incident způsobený porušením organizačních opatření.
Cyber security incident caused by a violation of organizational measures.
Kybernetický bezpečnostní incident spojený s projevem trvale působících hrozeb.
Cyber security incident associated with an APT.
Ostatní kybernetické bezpečnostní incidenty způsobené kybernetickým útokem.
Other cyber security incidents caused by a cyber attack.
Kybernetický bezpečnostní incident způsobující narušení důvěrnosti primárních aktiv.
Cyber security incident causing disruption in confidentiality of primary assets.
Kybernetický bezpečnostní incident způsobující narušení integrity primárních aktiv.
Cyber security incident causing disruption in integrity of primary assets.
Kybernetický bezpečnostní incident způsobující narušení dostupnosti primárních aktiv.
Cyber security incident causing disruption in availability of primary assets.
Kybernetický bezpečnostní incident způsobující kombinaci dopadů uvedených shora.
Cyber security incident resulting in a combination of above impacts.
Upřesnění podle standardu ENISA / eCSIRT.net - Incident Classification
zdroj: http://www.ecsirt.net/cec/service/documents/wp4-clearinghouse-policy-v12.html
ENISA / eCSIRT.net Standart - Incident Classification
source: http://www.ecsirt.net/cec/service/documents/wp4-clearinghouse-policy-v12.html
Abusive Content (např. spam, kyberšikana, nevhodný obsah)
Abusive Content (Spam, Harassment, Child/Sexual/Violence)
Malicious Code (např. virus, červ, trojský kůň, dialer, spyware)
Malicious Code (Virus, Worm, Trojan, Dialer, Spyware)
Information Gathering (např. skenování, sniffing, sociální inženýrství)
Information Gathering (Scanning, Sniffing, Social Engineering)
Intrusions (např. kompromitace aplikace nebo uživatelského účtu)
Intrusions (Privileged Account Compromise, Unprivileged Account Compromise, Application Compromise)
Intrusion Attempts (např. zneužití zranitelnosti, kompromitace aktiva, 0-day útok)
Intrusion Attempts (Exploiting of known Vulnerabilities, Login attempts, new attack signature)
Availability (např. narušení dostupnosti způsobené DoS/DDoS útokem nebo sabotáží)
Availability (DoS, DDos, Sabotage)
Information Security (např. neautorizovaný přístup nebo neautorizovaná změna informace, aj.)
Information Security (Unauthorised access to information)
Fraud (např. neoprávněné využití ICT - porušení licenčních práv, krádež identity, aj.)
Fraud (Unauthorized use of resources)
Ostatní
Other (All incidents which don't fit in one of the given categories should be put into this class)
Probíhá analýza a šetření kybernetického incidentu
Ongoing analysis and investigation of cyber incident
Kybernetický bezpečnostní incident je pod kontrolou
Cyber security incident is under control
Dotčené funkce obnoveny
Affected functions are restored
Neznámý
Unknown
Incident
Incident
Událost
Event
Iniciační oznámení
Initiation announcement
Pokračování dříve oznámených
Continuation of the previously announced
Orgán a osoba uvedená v § 3 písm. c) až e) zákona
Authority and the person referred to in § 3. c) to e)
Identifikátor zadávejte jen tehdy, pokud Vám byl sdělen ze strany GovCERTu (jde o jednoznačný identifikátor orgánu nebo osoby)
Put identifier only if you have been communicated by the GovCERT (it is a unique identifier of a authority or person)
Datum, čas a časová zóna zjištění
Date of discovery with timezone mark
Datum a čas výskytu incidentu
Date of occurrence of the incident
Kategorie incidentu
Category of the incident
Typ incidentu
Type of the incident
Upřesnění podle standardu ENISA / eCSIRT.net
Clarification by standard ENISA / eCSIRT.net
Současný stav zvládání kybernetického bezpečnostního incidentu
The current state of cyber security incident managing
Počet zasažených systémů (odhad)
The number of affected systems (estimate)
Odhad počtu dotčených uživatelů
The number of affected users (estimate)
Popis incidentů
Incident description
Přidělené číslo incidentu (vyplňte, pouze pokud vám bylo přiděleno)
Assigned of the incident number (fill in only if you have been assigned)
Jde o incident nebo událost
It is about of an incident or event
Rozsah škod
Extent of damage
Jaká opatření byla přijata?
What measures have been taken?
Host nebo IP
Host or IP
Funkce hosta
Host features
Návaznost na předchozí hlášení
Connection to previous announcement
Operační systém a jeho verze
OS and version
Umístění systému v architektuře
Location of the system in the architecture
Host nebo IP
Host or IP
Povinné pole
Mandatory field
Povinné pole
Mandatory field
Povinné pole
Mandatory field
Povinné pole, které se může opakovat
Mandatory field, may be repeated
Nepovinný popis zdroje/zdrojů útoku
Optional description/s of the source of attack